top of page

Las contraseñas pronto quedarán en el pasado, para ser reemplazadas por "passkeys"

Desde hace varios años las personas han estado apelando por eliminar el uso de contraseñas y optar por métodos que les permitan ingresar a ciertas aplicaciones con otras formas que no impliquen el uso de caracteres que, muchas veces, tienden a olvidarse. Con base a esto, algunas empresas han decidido unirse a ello, para brindar mejores alternativas a los usuarios a través del ingreso de lectores biométricos, por ejemplo. De forma genérica, las claves de acceso (passkeys) se refieren a varios esquemas para almacenar información de autenticación en el hardware, un concepto que ha existido durante más de una década. Lo que cambia ahora es que Microsoft, Apple, Google y un consorcio de otras empresas se han unido en torno a un único estándar de claves de acceso liderado por la Alianza FIDO. Las claves de acceso no sólo son más fáciles de usar para la mayoría de la gente que las contraseñas, sino que también son completamente resistentes a la suplantación de credenciales, al relleno de credenciales y a otros ataques similares de apropiación de cuentas. El lunes, PayPal anunció que los usuarios de Estados Unidos pronto tendrán la opción de iniciar sesión con claves de acceso basadas en FIDO , uniéndose a Kayak, eBay, Best Buy, CardPointers y WordPress como servicios en línea que ofrecerán la alternativa de la contraseña. En los últimos meses, Microsoft, Apple y Google han actualizado sus sistemas operativos y aplicaciones para permitir las claves de acceso. La compatibilidad con las claves de acceso sigue siendo irregular. Las "passkeys" almacenadas en iOS o macOS funcionarán en Windows, por ejemplo, pero lo contrario aún no está disponible. Sin embargo, en los próximos meses todo esto debería estar resuelto. Ahora bien, en cuanto a las "passkeys" , estas funcionan de forma casi idéntica a los autenticadores FIDO que permiten utilizar teléfonos, laptops, computadoras y claves de seguridad Yubico o Feitian para la autenticación multifactor. Al igual que los autentificadores FIDO almacenados en estos dispositivos MFA, las "passkeys" son invisibles y se integran con "Face ID", Windows Hello u otros lectores biométricos ofrecidos por los fabricantes de dispositivos. No hay forma de recuperar los secretos criptográficos almacenados en los autenticadores, a no ser que se desmantele físicamente el dispositivo o se someta a un ataque de rooting (enraizamiento). Incluso si un adversario fuera capaz de extraer el secreto criptográfico, tendría que proporcionar la huella dactilar, el escáner facial o en ausencia de capacidades biométricas, el PIN asociado al token. Además, los tokens de hardware utilizan el flujo de autenticación entre dispositivos de FIDO o CTAP, que se basa en la tecnología "Bluetooth Low Energy" para verificar que el dispositivo de autenticación se encuentra en la proximidad física del dispositivo que intenta iniciar sesión. Hasta ahora, los ataques contra la AMF compatible con FIDO han sido escasos. Una campaña avanzada de phishing de credenciales que recientemente vulneró Twilio y otras empresas de seguridad de primer nivel, por ejemplo, fracasó contra Cloudflare por una razón: A diferencia de los otros objetivos, Cloudflare utilizaba tokens de hardware compatibles con FIDO que eran inmunes a la técnica de phishing que utilizaron los atacantes. Todas las víctimas que fueron atacadas utilizaban formas más débiles de MFA. Pero mientras que los tokens de hardware pueden proporcionar uno o más factores de autenticación además de una contraseña, las llaves de paso no dependen de ninguna contraseña. En su lugar, las llaves de paso reúnen varios factores de autenticación (por lo general, el teléfono o la laptop y el escáner facial o la huella dactilar del usuario) en un único paquete. Las "passkeys" son gestionadas por el sistema operativo del dispositivo. A elección del usuario, también se pueden sincronizar mediante un cifrado de extremo a extremo con los demás dispositivos del usuario utilizando un servicio en la nube proporcionado por Apple, Microsoft, Google u otro proveedor. Las claves de acceso son "descubribles" , lo que significa que un dispositivo inscrito puede enviar automáticamente una a través de un túnel cifrado a otro dispositivo inscrito que esté intentando iniciar sesión en una de las cuentas del sitio o aplicaciones del usuario. Al iniciar la sesión, el usuario se autentifica utilizando la misma contraseña biométrica o en el dispositivo o el PIN para desbloquear su dispositivo. Este mecanismo sustituye completamente al tradicional nombre de usuario y contraseña y proporciona una experiencia de usuario mucho más sencilla. "Los usuarios ya no necesitan inscribirse en cada dispositivo para cada servicio, lo que ha sido durante mucho tiempo el caso de FIDO (y de cualquier criptografía de clave pública)", dijo Andrew Shikiar, director ejecutivo y jefe de marketing de FIDO. "Al permitir que la clave privada se sincronice de forma segura en la nube de un sistema operativo, el usuario sólo tiene que inscribirse una vez en un servicio y, a continuación, queda preinscrito en ese servicio en todos sus demás dispositivos. Esto aporta una mayor facilidad de uso para el usuario final y (de forma muy significativa) permite al proveedor de servicios empezar a retirar las contraseñas como medio de recuperación de cuentas y reinscripción". Esto es, sin duda un avance que de cierta forma podría disminuir los hackeos que existen hoy en día y que cada vez se identifican más, es la mejor forma, hasta ahora, de mantener "seguros" los datos sensibles de alguna app que correspondan a cualquier empresa o persona.

Las contraseñas pronto quedarán en el pasado, para ser reemplazadas por "passkeys"

Desde hace varios años las personas han estado apelando por eliminar el uso de contraseñas y optar por métodos que les permitan ingresar...

bottom of page